<!DOCTYPE HTML PUBLIC "-//W3C//DTD HTML 4.0 Transitional//EN">
<HTML><HEAD>
<META http-equiv=Content-Type content="text/html; charset=us-ascii">
<META content="MSHTML 6.00.2800.1561" name=GENERATOR></HEAD>
<BODY>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>Esteban,</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>Thank you to answer my mail. I spent few hours, 
finally fixed the problem.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>When I use "tcpdump -i eth1", I can see the traffic send 
from switch. </FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>I have another problem. Snort/BASE only capture eth0 
traffic, which</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>I use for the monitor connection. I can not see traffic on 
eth1.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>How can I sniff eth1 traffic to Snort? I checked the 
snort.conf, I did not</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>find anywhere for it.</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>Thank you for all of your help,</FONT></SPAN></DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2></FONT></SPAN> </DIV>
<DIV dir=ltr align=left><SPAN class=634482614-05102006><FONT face=Arial 
color=#0000ff size=2>--Greta</FONT></SPAN></DIV>
<DIV class=OutlookMessageHeader lang=en-us dir=ltr align=left>
<HR tabIndex=-1>
<FONT face=Tahoma size=2><B>From:</B> Esteban Ribicic [mailto:kisero@...846....11827...] 
<BR><B>Sent:</B> Thursday, October 05, 2006 10:12 AM<BR><B>To:</B> Ji, 
Greta<BR><B>Cc:</B> Snort-users@lists.sourceforge.net<BR><B>Subject:</B> Re: 
[Snort-users] I can not see it<BR></FONT><BR></DIV>
<DIV></DIV>maybe u are confusing the nic u must sniff, try tcpdump -i any 
-n (under linux) <BR><BR>
<DIV><SPAN class=gmail_quote>On 10/3/06, <B class=gmail_sendername><A 
href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...</A></B> <<A 
href="mailto:Greta.Ji@...4682...">Greta.Ji@...4682...</A>> wrote:</SPAN> 
<BLOCKQUOTE class=gmail_quote 
style="PADDING-LEFT: 1ex; MARGIN: 0px 0px 0px 0.8ex; BORDER-LEFT: #ccc 1px solid">
  <DIV>
  <DIV><FONT face=Arial size=2><SPAN>Hi, </SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial size=2><SPAN>I am a new user on this list. I have a 
  simple problem, and hope to get a </SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN>help. </SPAN></FONT><FONT face=Arial 
  size=2><SPAN>I just installed Snort 2.6 on Centos. </SPAN></FONT><FONT 
  face=Arial size=2><SPAN>I follow the document to bring </SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN>eth1 </SPAN></FONT><FONT face=Arial 
  size=2><SPAN>up (eth0 has IP to connect </SPAN></FONT><FONT 
  face=Arial size=2><SPAN>to the Internal network).  But I can not 
  </SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN>see </SPAN></FONT><FONT face=Arial 
  size=2><SPAN>any traffic on eth1 (tcpdump -i eth1). I checked the switch, I 
  can see</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN>traffice on the interface (# sh interface 
  f0/8):</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial size=2><SPAN>    monitor session 1 source 
  interface Fa0/2<BR>    monitor session 1 destination interface 
  Fa0/8<BR></SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN>     270471 packets 
  output, 65224246 bytes, 0 underruns</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial size=2><SPAN>Did I missing anything at here? Could some 
  one help me?</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial size=2><SPAN>Thank you,</SPAN></FONT></DIV>
  <DIV><FONT face=Arial size=2><SPAN></SPAN></FONT> </DIV>
  <DIV><FONT face=Arial 
  size=2><SPAN>--Greta</SPAN></FONT></DIV></DIV><BR>-------------------------------------------------------------------------<BR>Take 
  Surveys. Earn Cash. Influence the Future of IT<BR>Join SourceForge.net 's 
  Techsay panel and you'll get the chance to share your<BR>opinions on IT & 
  business topics through brief surveys -- and earn cash<BR><A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV" 
  target=_blank>http://www.techsay.com/default.php?page=join.php&p=sourceforge&CID=DEVDEV</A><BR><BR>_______________________________________________<BR>Snort-users 
  mailing list<BR><A onclick="return top.js.OpenExtLink(window,event,this)" 
  href="mailto:Snort-users@lists.sourceforge.net">Snort-users@...635...eforge.net</A><BR>Go 
  to this URL to change user options or unsubscribe:<BR><A 
  onclick="return top.js.OpenExtLink(window,event,this)" 
  href="https://lists.sourceforge.net/lists/listinfo/snort-usersSnort-users" 
  target=_blank>https://lists.sourceforge.net/lists/listinfo/snort-users<BR>Snort-users</A> 
  list archive:<BR><A onclick="return top.js.OpenExtLink(window,event,this)" 
  href="http://www.geocrawler.com/redir-sf.php3?list=snort-users" 
  target=_blank>http://www.geocrawler.com/redir-sf.php3?list=snort-users</A><BR><BR></BLOCKQUOTE></DIV><BR></BODY></HTML>